Вирус BadRabbit проникал на компьютеры жертв через ложный Flash Player
Вирус-шифровальщик BadRabbit, атаковавший в среду информационные системы в ряде стран, проникал на компьютеры жертв с помощью ложного обновления Flash Player, выяснили эксперты антивирусной компании ESET, которая исследовала схему распространения вируса.
Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.
"В ESET наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. Нажав на кнопку "Install/Установить", пользователь инициирует загрузку исполняемого файла, который, в свою очередь, запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 тысяч рублей)", — говорится в сообщении. Компания отмечает, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.
"Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, BadRabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей", — отмечает ESET.
По данным ESET, шифратор Win32/Diskcoder.D, получивший название BadRabbit – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. "Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска", — выяснила ESET.
Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом. Файлы зашифрованы с расширением.encrypted. Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты "Фонтанки", "Новой газеты в Санкт-Петербурге" и "Аргументов недели".
Как отмечает ESET, атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.